Llegamos a ustedes gracias a:



Reportajes y análisis

Generación Y: ¿Qué sabe de seguridad?

Algunos expertos los llaman Millennials, el 'nuevo vector de amenazas'. Pero otros dicen que el eslabón más débil de la empresa son las personas de cualquier edad.

[09/09/2013] La brecha generacional ha existido por generaciones. Pero, por lo menos para algunos expertos, la brecha actual entre los veinteañeros y sus mayores en la fuerza laboral de TI, va más allá de que los adultos simplemente muevan la cabeza y murmuren: "Ah, los chicos de hoy en día". Hay, dicen, una brecha de seguridad.
Andrew Avanessian, vicepresidente de servicios profesionales globales de Avecto, que escribe para Cyber Truth de USA Today, llama a los Millennials -también etiquetados como Generación Y- "como un nuevo vector de ataque que emana desde el interior".
Avanessian citó al Cisco 2013 Annual Security Report, que señala que mientras los trabajadores de la Generación Y aportan gran experiencia en TI y conocimiento técnico a sus puestos de trabajo, también tienden a ignorar las políticas de TI, demandan libertad de acceso, hacen caso omiso de la falta de privacidad, y están acostumbrados a mezclar su vida personal y profesional, todo lo cual puede conducir a intrusiones cibernéticas.
Como Cisco señala, "Los riesgos de seguridad en los negocios aumenta debido a que muchos empleados adoptan su propio estilo en el trabajo, en el que sus dispositivos, el trabajo y comportamiento en línea se mezclan con su vida personal prácticamente en cualquier lugar -en la oficina, en casa y por todas partes".
Christopher Ellingwood, que escribe en Berry Dunn, citó una encuesta realizada por RSA y que mostró que más del 70% de los trabajadores de la Generación Y "admiten llevar a cabo una conducta de riesgo" en Internet, tales como la publicación de demasiada información personal y de la empresa en los medios sociales y otros sitios".
"Esta generación, también conocida como la generación de 'los clics', espera que la información esté disponible para descarga inmediata, visitar sitios web, y ofrecen información personal con el fin de obtener la información que buscan. Muchos de los sitios que visitan y los archivos que descargan requieren una aceptación de los términos y condiciones que los de la Generación Y probablemente aceptan sin leer", escribe Ellingwood.
No es, en su mayor parte, porque los trabajadores estén visitando sitios bajo la sombra. Cisco encontró que "la mayor concentración de las amenazas de seguridad en línea no apunta ni a la pornografía, ni los sitios farmacéuticos o de juegos, sino a destinos legítimos visitados por el público, como los principales motores de búsqueda, sitios de venta al por menor y medios sociales".
En cuanto a la privacidad, Cisco encontró que "la mayoría de los empleados de la generación Y creen que la era de la privacidad ha terminado (91%), y están dispuestos a sacrificar la información personal para socializar en línea".
"De hecho, muchos trabajadores de la generación Y de todo el mundo dicen que se sienten más cómodos al compartir información personal con los sitios de venta al por menor, que con sus propios empleadores de los departamentos de TI -departamentos que son pagados para proteger la identidad y los dispositivos de los empleados".
Avanessian señala que en muchos casos los trabajadores necesitan privilegios adicionales para hacer su trabajo.
"Las políticas restrictivas que solo les permiten hacer A, B y C, en realidad obstaculizan su flujo de trabajo, ralentizándolos y ocasionando un costo potencial a la organización en términos de eficiencia y recursos", escribe, pero agrega que el "riesgo intrínseco" es que incluso la aplicación de controles no impide que los trabajadores abran el sistema.
"Cuando junta derechos administrativos con las habilidades y conocimientos de los empleados inteligentes de hoy en día, los antivirus y controles de la aplicación se pueden desactivar en cuestión de segundos", escribe.
Bogdan Botezatu, analista senior de e-amenazas en Bitdefender, señala que la observación directa muestra que, "los Millennials son más propensos a abrir la puerta a las amenazas de seguridad en entornos corporativos. Pues debido a que básicamente están más interconectados que otras categorías demográficas, tienden a exponer más información acerca de sí mismos".
No todo el mundo está de acuerdo. Guy Helmer, vicepresidente asistente de la prevención de pérdida de datos en Absolute Software, señala que no cree que cualquier generación específica sea un nuevo vector de ataque.
"A medida que la tecnología es abrazada por todas las generaciones, es natural que los empleados conocedores de la tecnología quieran tener la misma red y acceso a aplicaciones en el trabajo como en casa", señala. "Los empleados de la Generación Y están continuando la democratización de los datos que se inició hace 30 años en los días de la computadora personal".
Kevin Bocek, vicepresidente de marketing de producto de Venafi, coincide en que "la Generación Y confía en la tecnología a un punto que las otras generaciones no lo hacen -su prisa por usar las redes sociales y cualquier cosa móvil, son solo algunos ejemplos de confiar y adoptar la tecnología".
Pero, señala, no son más que la parte más nueva de la vía de ataque más común.
"La gente es conocida por los ciberdelincuentes por ser el eslabón más débil, y eso dio lugar a la utilización del phishing, ataques de ojo de agua y más, por años". Mike Tierney, vicepresidente de operaciones de SpectorSoft, estuvo de acuerdo. "El acceso y la disponibilidad siempre han estado en desacuerdo con la seguridad y la privacidad", señala.
Sin embargo, incluso algunos en el rango de edad de la Generación Y reconocen que el problema se encuentra en un nuevo nivel con su grupo de edad. Reem Ateyeh, ejecutivo de cuenta en HORN, es uno de ellos.
Ateyeh anota que el "nuevo vector de ataque" es "con justa razón, muchos de la Generación Y que son conocedores de la tecnología, pero no tan listos con la seguridad como deberían ser. Muchas veces, no se dan cuenta el riesgo que sus actividades en línea pueden plantear para sus empleadores", señala, y agregó que a pesar de que se ha vuelto muy consciente de la seguridad a través de su trabajo con los profesionales de TI", es difícil ser prudente, simplemente debido a la gran cantidad de herramientas disponibles para compartir datos e información".
Sin embargo, la ejecutiva añade que las generaciones mayores también pueden ser un factor de riesgo, ya que se han vuelto más sociales. "Ya sea que los de la Generación Y son más conocedores de la seguridad o no, siempre están en el claro cuando se trata de la seguridad de la empresa", señala.
¿Qué deben hacer las empresas al respecto? Mientras que la capacitación en seguridad es importante para los empleados de todas las edades, la mayoría de los expertos señalan que esto no es algo que las empresas puedan "entrenar". Tampoco es algo que la Generación Y vaya a superar.
"Esta no es una fase con la que crecerá una generación", señala Kevin Bocek. "Se trata de una evolución en la forma que se estructuran y ejecutan los negocios. Gartner se refiere a este cambio -provocado en parte por la generación Y, los medios sociales, móviles y la nube- como 'el nexo de fuerzas'. Que son las fuerzas imparables que están cambiando las TI para siempre".
El consejo de Guy Helmer es trabajar con ello, en lugar de tratar de detenerlo.
"En muchos casos, los incidentes de seguridad se han producido porque los empleados conocedores de la tecnología encuentran una solución alternativa que les permite hacer su trabajo", señala. "Un buen ejemplo es un empleado que utiliza un servicio basado en la nube como Dropbox para compartir archivos de gran tamaño que son difíciles de enviar por correo electrónico o acceder a la red de forma remota. TI debe abordar la situación como un facilitador, no como un dictador".
Mike Tierney de SpectorSoft señala que las empresas necesitan "establecer lo que es y no es aceptable cuando se trata de la seguridad de los datos", y comunicárselo con claridad a sus empleados. "Hay un dicho que leí hace unas semanas que lo pone en contexto: Lo que usted permita es lo que continuará", anota.
Eso, señala, lleva a dos opciones: "Una es bloquearlos -las empresas tendrán que elegir la seguridad sobre la productividad y mantener las acciones de los empleados dentro de los límites de la política de seguridad. La otra es permitir un entorno más abierto, pero solo en los dispositivos donde la empresa puede controlar el uso y avisar cuando alguien se sale de los límites de lo que es aceptable", agrega.
"En cualquier caso, la responsabilidad recae en la empresa para hacer todo el trabajo", señala.
Kyrk Storer, un supervisor de cuenta en HORN, quien también forma parte de la Generación Y, señala que la claridad de los empleadores ayudaría. Dado que la tecnología es algo cotidiano y los riesgos de seguridad "rara vez cruzan nuestra mente", ayudaría a tener "una explicación clara por parte del empleador al empezar nuestra carrera", sobre las políticas de seguridad.
Mike Denning, vicepresidente senior y gerente general del área de negocio en CA Technologies, señala que ser conocedores de la tecnología puede ser un elemento de seguridad.
"Al crecer en un mundo lleno de riesgos de seguridad cibernética, a menudo tienen un sentido más intuitivo de qué acciones son riesgosas y cuáles no lo son. Para ellos, se ha convertido en una segunda naturaleza el no abrir archivos adjuntos de correo electrónico de fuentes no confiables o descargar aplicaciones riesgosas".
Pero, añade, "BYOD -la combinación de trabajo y personal en el mismo dispositivo, y ser activo en las redes sociales- es una forma de vida. Usted no creció con ello, o no debió, pero necesita protegerlo, administrarlo y operarlo inteligentemente.
Taylor Armerding, CSO (EE.UU.)